ISO 27001 için VMware monitoring kurmak, yalnız birkaç alarm açmak veya bir syslog sunucusuna log göndermek anlamına gelmez. Kısa cevap şudur: doğru model; önce hangi VMware bileşenlerinden hangi güvenlik ve operasyon sinyallerinin toplanacağını tanımlamak, sonra vCenter task-event-alarm katmanını ESXi remote syslog ve merkezi log analiziyle birleştirmek, en sonda da bu akışı denetimde savunulabilir kanıt setine dönüştürmektir. Bu rehber, VMware ortamını ISO 27001 diliyle izlenebilir ve audit-ready hale getirmek isteyen ekipler için hazırlandı.
Bu rehber özellikle şu ekipler içindir:
- VMware ve vSphere yöneticileri
- bilgi güvenliği ve uyum ekipleri
- SOC, SIEM ve merkezi log yönetimi ekipleri
- ISO 27001 denetimine hazırlanan BT yöneticileri
Hızlı Özet
- ISO 27001, belirli bir VMware ürünü değil; risk bazlı, kanıt üretilebilir bir monitoring yaklaşımı ister.
- VMware monitoring yalnız dashboard izlemek değildir; task, event, alarm, syslog ve merkezi korelasyonu birlikte kapsar.
- vCenter tarafında olaylar, görevler ve alarmlar temel görünürlük katmanıdır.
- ESXi tarafında remote syslog olmadan uzun süreli ve değiştirilmeye karşı daha dayanıklı log saklama modeli zayıf kalır.
- Merkezi log platformu olarak VMware Aria Operations for Logs veya kurumsal SIEM entegrasyonu düşünülmelidir.
- Alarm tasarımında yanlış target seçimi ve log forwarding tarafındaki FQDN/port hataları sahte bir “izliyoruz” hissi üretir.
- ISO 27001 açısından asıl değer, monitoring verisinin olay yönetimi, gözden geçirme, saklama ve kanıt akışıyla birlikte işletilmesidir.
İçindekiler
- ISO 27001 Açısından VMware Monitoring Ne Demektir?
- Hangi VMware Katmanları Mutlaka İzlenmelidir?
- Alarm ve Log Toplama Mimarisi Nasıl Kurulmalıdır?
- ISO 27001 İçin Kanıt Seti Nasıl Tasarlanır?
- En Sık Yapılan Hatalar Nelerdir?
- Uygulama İçin Pratik Kontrol Listesi
- Sık Sorulan Sorular
Görsel: Wikimedia Commons - VM Monitor.
ISO 27001 Açısından VMware Monitoring Ne Demektir?
ISO 27001 tarafında amaç, yalnız log üretmek değil; güvenlik ve operasyon sinyallerini risk bazlı biçimde izlemek, sapmaları tespit etmek, sorumluluk atamak ve geriye dönük kanıt bırakmaktır. ISO'nun resmi bilgi güvenliği sayfası da standardın yalnız teknik koruma değil, stratejik ve yapılandırılmış bir güvenlik yaklaşımı sunduğunu açıkça vurgular.
Bu nedenle “VMware monitoring” aşağıdaki sorularla birlikte düşünülmelidir:
- hangi olaylar gerçekten kritik
- hangi katmanlarda alarm üretilmeli
- hangi loglar merkezi platforma akmalı
- ne kadar süre saklanmalı
- kim inceleyecek ve hangi sıklıkla gözden geçirecek
- hangi kayıtlar denetimde kanıt olarak gösterilecek
ISO 27001 uyumlu bir izleme modelinde şu yaklaşım daha savunulabilirdir:
- yalnız uyarı üretmek değil, olay yaşam döngüsünü tanımlamak
- yalnız teknik görünürlük değil, sorumluluk ve review takvimi kurmak
- yalnız gerçek zamanlı uyarı değil, geriye dönük audit trail oluşturmak
Kısacası VMware monitoring, ISO 27001 bağlamında bir “tool setup” değil; yönetilen bir kontrol setidir.
Hangi VMware Katmanları Mutlaka İzlenmelidir?
1. vCenter görev ve olay katmanı
VMware vSphere'in resmi dokümantasyonu, vCenter içinde event retention, triggered alarms, recent tasks ve service/node health gibi başlıkların monitoring modelinin temel parçası olduğunu açıkça gösterir. Bu katman, yönetim düzleminde neler olduğunu anlamak için ilk başvuru noktasıdır.
Pratikte burada en kritik sinyaller şunlardır:
- yetkisiz veya beklenmeyen oturum açma denemeleri
- host disconnect ve reconnect olayları
- VM power işlemleri
- snapshot, storage policy ve encryption değişiklikleri
- patch, lifecycle veya scheduled task davranışları
- service health veya node availability uyarıları
Bu yüzden ISO 27001 için monitoring tasarlarken vCenter Monitor > Tasks and Events alanı yalnız troubleshooting ekranı olarak değil, kontrol kanıtı kaynağı olarak ele alınmalıdır.
2. vCenter alarm katmanı
Alarmlar, olayları operasyonel aksiyona dönüştüren ilk mekanizmadır. Broadcom KB 377779, custom alarm'ların tetiklenmemesinin çok sık yanlış target type seçimine bağlı olduğunu açıkça gösteriyor. Bu önemli, çünkü birçok kurum alarm tanımladığını sanıyor ama aslında yanlış obje tipinde izleme yaptığı için olay hiç görünmüyor.
Sağlıklı bir alarm modeli için şu ayrımlar net olmalıdır:
- VM düzeyi alarm mı, host düzeyi alarm mı, cluster düzeyi alarm mı
- bilgilendirme alarmı mı, aksiyon gerektiren alarm mı
- security use case mi, operasyon use case mi
- alarm yalnız UI'da mı kalacak, yoksa mail/SIEM/ticket akışına mı düşecek
Yani ISO 27001 için VMware monitoring kurulurken alarm tasarımı “kaç alarm var?” sorusuyla değil, “doğru objeyi doğru eşikle mi izliyoruz?” sorusuyla değerlendirilmelidir.
3. ESXi remote syslog katmanı
vCenter görünürlüğü tek başına yeterli değildir. ESXi host loglarının merkezi platforma akması gerekir. Broadcom'un son KB'leri, remote syslog akışında hostname/FQDN uyuşmazlığının log gönderimini durdurabildiğini ve özellikle non-standard port kullanımında firewall davranışının versiyona göre kırılabildiğini açıkça gösterir.
Bu şu anlama gelir:
- syslog tanımlı olması yetmez, gerçekten akıyor olması gerekir
- FQDN, hosts dosyası ve çözümleme tutarlılığı kontrol edilmelidir
- standart dışı port kullanılacaksa desteklenen sürüm/port davranışı doğrulanmalıdır
- scratch partition ve log yazma sağlığı gözden geçirilmelidir
ISO 27001 tarafında log forwarding kesintisi, yalnız teknik bir sorun değil; izleme kontrolünün kanıt üretme kabiliyetini zayıflatan bir açıklıktır.
4. Merkezi log analizi ve korelasyon
Broadcom KB 324153, vCenter ile Aria Operations for Logs entegrasyonunun doğrudan vSphere monitoring akışının parçası olduğunu gösteriyor. Kurumun SIEM ürünü farklı olsa bile prensip değişmez: vCenter olayları, ESXi syslog akışı ve gerektiğinde diğer altyapı logları tek yerde korele edilmelidir.
Merkezi log katmanı şu değeri üretir:
- tekil host bakışından çıkıp ortam genelinde ilişki kurma
- alarmı olay bağlamıyla birlikte inceleme
- geriye dönük timeline oluşturma
- audit döneminde filtrelenebilir ve dışa aktarılabilir kayıt üretme
İlgili içerikler:
- VMware Datastore Encryption ISO 27001 Uyumu Rehberi
- VMware Network Not Working Sorunu Nasıl Çözülür?
- VMware vCenter Services Not Running Sorunu Nasıl Çözülür?
Alarm ve Log Toplama Mimarisi Nasıl Kurulmalıdır?
Katmanlı model kurun
En güvenli yaklaşım tek bir ekrana güvenmek yerine katmanlı model kurmaktır:
- vCenter içinde görev, olay ve alarm görünürlüğü
- ESXi hostlardan merkezi syslog akışı
- Merkezi log platformunda korelasyon ve arama
- Kritik alarmlar için ticket, e-posta veya olay yönetimi entegrasyonu
- Periyodik review ve saklama politikası
Bu yapı sayesinde aynı olay hem operasyonel hem denetimsel değere kavuşur.
Alarm eşiğini ve hedefini belgelendirin
Alarm tanımları için şu minimum alanlar yazılı olmalıdır:
- alarm adı ve amacı
- target type
- tetikleyici olay veya threshold
- severity
- aksiyon sahibi
- escalation yolu
- false positive review sıklığı
Bu belge yoksa alarm vardır ama yönetilen kontrol yoktur.
Log akışını düzenli test edin
Aşağıdakiler periyodik test kapsamında olmalıdır:
- ESXi hosttan syslog sunucusuna örnek akış doğrulaması
- hostname/FQDN uyumluluğu
- non-standard port kullanılıyorsa gerçek bağlantı testi
- merkezi platformda yeni event'in görünme süresi
- kritik alarmın ticket veya bildirim kanalına düşmesi
Broadcom KB 429006 ve 418680 birlikte okunduğunda, “konfigüre ettik ama akmıyor” senaryosunun pratikte oldukça gerçek olduğu görülür. Bu yüzden monitoring çözümü yalnız tasarlanmaz, düzenli doğrulanır.
ISO 27001 İçin Kanıt Seti Nasıl Tasarlanır?
Bir denetimde yalnız ekran görüntüsü göstermek zayıf kalır. Daha güçlü VMware monitoring kanıt seti şu bileşenleri içermelidir:
- izlenen VMware bileşenlerinin kapsam listesi
- kritik olay matrisi
- aktif alarm listesi ve target tanımları
- remote syslog konfigürasyonu ve doğrulama kaydı
- merkezi log platformunda örnek korelasyon çıktıları
- alarm review toplantı notları veya kayıtları
- olay yönetimi/ticket bağları
- log saklama ve dışa aktarma prosedürü
Özellikle şu senaryolar audit-ready görünür:
- yönetici login ve privilege change kayıtları
- host disconnect / HA etkileyen olaylar
- encryption, storage policy veya backup tarafında kritik konfigürasyon değişiklikleri
- failed task, recurring error event ve kalıcı alarm davranışı
Buradaki ana ilke şudur: monitoring sisteminiz olay tespit etmekle kalmamalı, olayın fark edildiğini, işlendiğini ve gözden geçirildiğini de gösterebilmelidir.
En Sık Yapılan Hatalar Nelerdir?
Yalnız vCenter ekranına güvenmek
vCenter görünürlüğü değerlidir ama host tarafındaki syslog ve merkezi log toplama olmadan uzun vadeli izleme zayıf kalır.
Alarm tanımlayıp target'ı yanlış seçmek
Alarm tanımı vardır ama yanlış obje tipine bağlanmıştır; sonuçta olay hiç düşmez veya yanlış yerde görünür.
Syslog forwarding'i bir kez kurup bir daha kontrol etmemek
FQDN uyuşmazlığı, port engeli veya log akışındaki sessiz kopmalar fark edilmezse sistem kâğıt üzerinde izleniyor görünür.
Monitoring'i incident response'dan ayırmak
ISO 27001 tarafında alarmı görmek tek başına yeterli değildir. Alarmın neye dönüştüğü de önemlidir.
Saklama ve review döngüsünü tanımlamamak
Log üretilir ama ne kadar süre tutulduğu, kim tarafından ne sıklıkla incelendiği belli değildir. Bu durumda kontrol olgunluğu düşer.
Uygulama İçin Pratik Kontrol Listesi
- İzlenecek VMware bileşenleri ve kritik olaylar listelendi.
- vCenter task, event ve alarm görünürlüğü doğrulandı.
- Custom alarm target type seçimleri gözden geçirildi.
- ESXi remote syslog akışı aktif ve test edilmiş durumda.
- FQDN, port ve firewall davranışı doğrulandı.
- Merkezi log platformu veya SIEM korelasyon akışı test edildi.
- Kritik alarmlar için owner ve escalation zinciri tanımlandı.
- Log retention, review ve audit export prosedürü yazılı hale getirildi.
LeonX ile Sonraki Adım
ISO 27001 için VMware monitoring kurmak, yalnız birkaç dashboard göstermek değil; vCenter görünürlüğünü, ESXi log forwarding'i ve merkezi olay yönetimini tek kontrol çerçevesinde işletmektir. LeonX, hem VMware altyapı ekibinin teknik gereksinimlerini hem de denetim tarafının kanıt beklentisini aynı projede birleştirmenize yardımcı olur.
İlgili sayfalar:
- Donanım & Yazılım Hizmetleri
- SIEM ve Güvenlik Olay Yönetimi Entegrasyonu
- Siber Güvenlik Değerlendirme Hizmeti
- İletişim
Sık Sorulan Sorular
ISO 27001 için VMware monitoring sadece log toplamak mıdır?
Hayır. Log toplama bunun yalnız bir parçasıdır. Doğru model; alarm, review, escalation ve kanıt üretimini birlikte kapsar.
vCenter alarm'ları tek başına yeterli midir?
Hayır. ESXi remote syslog ve merkezi log analizi olmadan monitoring modeli eksik kalır.
SIEM şart mı?
Her kurumun SIEM ürünü farklı olabilir ama merkezi korelasyon ve geriye dönük inceleme yapabilen bir platforma ihtiyaç vardır. Aria Operations for Logs veya mevcut kurumsal SIEM bu rolü üstlenebilir.
Remote syslog tanımlıysa konu tamam mıdır?
Hayır. Hostname/FQDN, port ve firewall koşulları nedeniyle log akışı görünmeden bozulabilir; bu yüzden doğrulama testi gerekir.
Denetimde en güçlü kanıt nedir?
Kapsam listesi, alarm tanımları, syslog doğrulaması, merkezi log ekranları, review kayıtları ve olay/ticket bağları birlikte en güçlü kanıt setini oluşturur.
Sonuç
ISO 27001 için VMware monitoring, yalnız daha fazla log toplamak değil; doğru katmanları izlemek, olayları anlamlı alarm ve korelasyon akışına dönüştürmek ve bunu düzenli review ile kanıtlayabilmektir. En güçlü yaklaşım; vCenter task-event-alarm görünürlüğünü ESXi remote syslog ve merkezi log yönetimiyle birleştirip tüm süreci denetimde savunulabilir bir operasyon modeline dönüştürmektir.
Kaynaklar
- ISO - ISO/IEC 27001:2022 Information security management systems
- ISO - Information security: A pillar of resilience in a digital age
- Broadcom Knowledge Base - vCenter integration with Aria Operations for Logs
- Broadcom Knowledge Base - ESXi host stops sending Syslog Data to remote syslog server due to hostname mismatch
- Broadcom Knowledge Base - ESXi hosts are unable to reach syslog non-standard port any port other than UDP/TCP 514 or TCP 1514
- Broadcom Knowledge Base - Non-default alarms are not getting triggered in vCenter
- Broadcom / VMware - VMware vSphere 6.7 PDF
- Wikimedia Commons - VM Monitor
